中国键盘APP藏安全漏洞 麻省理工:用户内容恐外泄
2024年4月25日发表
【人民报消息】美国麻省理工学院出版的《麻省理工科技评论》(MIT Technology Review)近日刊文示警,几乎每个中国键盘应用程式都存在泄漏用户输入内容的安全漏洞,这些APP的加密漏洞(encryption loophole),使近10亿人暴露在遭窃听私人对话的风险当中。
不少人因为觉得手机预设的键盘太过单调,而另行下载有著各种输入法,或新奇外观介面的键盘APP,不过《麻省理工科技评论》24日刊文 示警,世界各地中国人或说中文的人,使用的几乎所有键盘APP都存在安全漏洞,可以监视使用者的输入内容,「根据加拿大多伦多大学蒙克国际研究中心的公民实验室(the Citizen Lab)研究人员指出,该漏洞允许这些APP发送到云端的击键纪录(记录键盘按下的每个按键)被拦截,该漏洞已存在多年,并且可能已被网路犯罪分子和国家监控组织利用」研究人员还特别点名中国百度、腾讯和科大讯飞所开发的键盘APP。
此外,研究人员还研究了在中国销售的安卓系统(Android)手机上预先安装的键盘APP,发现不仅是第三方APP,每部预先安装键盘的安卓手机,都未能透过正确加密使用者输入的内容来保护使用者。事实上,早在2023年8月,研究人员就发现在中国市场主流、且多会被预先安装至安卓手机的汉语拼音输入法「搜狗拼音输入法」,在将击键纪录传输到其云端伺服器,以进行更好的「预测字词」时,没有使用「传输层安全性协定」(TLS,一种广泛采用的国际加密协议,目的是为网际网路通讯提供安全及资料完整性保障),导致击键内容容易被第三方搜集并解密。尽管搜狗去年表示,已修复这些问题,但现在还是部分手机预先安装的搜狗键盘没有更新至最新版本,因此还是容易被窃听。
公民实验室高级研究员诺克尔(Jeffrey Knockel)直言,这些漏洞并不难被利用,只要了解这个漏洞,根本不需要超级电脑来破解,只需要连上Wi-Fi就能「攻击」另一个人,「这些漏洞不但容易被利用,还能获得巨大回报,因为一个人输入的内容可能包括银行帐户密码或机密资料,也因此使的这个问题更加严重」亚利桑那州立大学网路安全与密码学副教授克兰德尔(Jedidiah Crandall)也表示,「由于解密讯息不需要太多努力,因此这种类型的漏洞可能成为有心人士,甚至组织对群体进行大规模监视的绝佳目标。」
《麻省理工科技评论》表示,公民实验室的人员发现此一问题后,就向开发这些键盘APP的公司取得联系,大部分漏洞都已得到修复,但有一些公司至今没有给出回应,因此该漏洞仍然存在于一些APP和手机,以及尚未更新到最新版本的键盘APP。 △
(自由时报)
|